局域网安全防范初探(精选9篇)
局域网安全防范初探 第1篇
在局域网的维护工作中, 最近常发现网络时断时续的现象, 而且断网的计算机不固定。经过监控发现是时下较流行的ARP欺骗病毒导致断网。由于这个病毒相当普遍, 所以笔者对ARP欺骗的原理做了一些分析。
(二) ARP欺骗的原理
地址解析协议 (Address Resolution Protocol, ARP) 是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用, 其主要用作将IP地址翻译为以太网的MAC地址, 但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层 (IP层, 也就是相当于OSI的第三层) 地址解析为数据连接层 (MAC层, 也就是相当于OSI的第二层) 的MAC地址。
假设:
计算机A的IP为192.168.1.1, MAC地址为00-11-22-33-44-01;
计算机B的IP为192.168.1.2, MAC地址为00-11-22-33-44-02;
ARP工作原理如下:
在TCP/IP协议中, A给B发送IP包, 在包头中需要填写B的IP为目标地址, 但这个IP包在以太网上传输的时候, 还需要进行一次以太包的封装, 在这个以太包中, 目标地址就是B的MAC地址。
计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。
在A不知道B的MAC地址的情况下, A就广播一个ARP请求包, 请求包中填有B的IP (192.168.1.2) , 以太网中的所有计算机都会接收这个请求, 而正常的情况下只有B会给出ARP应答包, 包中就填充上了B的MAC地址, 并回复给A。
A得到ARP应答后, 将B的MAC地址放入本机缓存, 便于下次使用。
本机MAC缓存是有生存期的, 生存期结束后, 将再次重复上面的过程。
(三) 故障现象及原因分析
情况一、当局域网内某台主机感染了ARP病毒时, 会向本局域网内 (指某一网段, 比如:10.10.75.0这一段) 所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备, 让原本流向网关的流量改道流向病毒主机, 造成受害者无法正常上网。
情况二、局域网内有某些用户使用了ARP欺骗程序 (如:网络执法官, QQ盗号软件等) 发送ARP欺骗数据包, 致使被攻击的电脑出现突然不能上网, 过一段时间又能上网, 反复掉线的现象。
(四) 如何查看ARP缓存表
ARP缓存表是可以查看的, 也可以添加和修改。在运行中输入“cmd”进入命令窗口, 然后在命令提示符下输入“arp-a”就可以查看ARP缓存表中的内容了。
用“arp-d”命令可以删除ARP表中某一行的内容;用“arp-s”可以手动在ARP表中指定IP地址与MAC地址的对应。
(五) 用户检查ARP欺骗的方法
同时按住键盘上的“CTRL+ALT+DEL”键, 选择“任务管理器”, 然后选“进程”标签。单看其中是否有一个名位“MIR0.DAT”之类的进程。如果有, 则说明已经中ARP欺骗病毒。右键单击此进程后选择“结束进程”。
(六) 防范措施
1. 安装ARP防火墙
如:奇虎ARP防火墙:奇虎ARP防火墙是奇虎360推出的系列安全小工具之一, 专门针对局域网内ARP攻击进行拦截, 是比较有效的ARP攻击拦截工具之一。
安装并开启奇虎ARP防火墙后将会立即对您的系统提供保护 (仅针对ARP病毒攻击, 无法替代360安全卫士保护功能) , 当检测到ARP攻击时将会划出提示信息, 建议您与所在网段的网管进行联系, 排查局域网中中毒机器。
360ARP防火墙通过在系统内核层拦截ARP攻击数据包, 确保网关正确的MAC地址不被篡改, 可以保障数据流向正确, 不经过第三者, 从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制, 完美的解决局域网内ARP攻击问题。
360ARP防火墙特色:
(1) 内核层拦截ARP攻击
在系统内核层拦截外部ARP攻击数据包, 保障系统不受ARP欺骗、ARP攻击影响, 保持网络畅通及通讯安全。
采用内核拦截技术, 本机运行速度不受任何影响。
(2) 追踪攻击者
发现攻击行为后, 自动定位到攻击者IP地址和攻击机器名 (有些网络条件下可能获取不成功) 。
(3) ARP缓存保护
防止恶意攻击程序篡改本机ARP缓存。
2. 采用静态绑定方法
做好IP-MAC地址的绑定工作 (即将IP地址与硬件识别地址绑定) , 在交换机和客户端都要绑定, 这是可以使局域网免疫ARP病毒侵扰的好办法。
PC机上IP-MAC地址绑定方法:在运行中输入“cmd”进入命令窗口, 然后在命令提示符下输入arp–s IP物理地址, 把IP和网卡物理地址绑定一起, 这样就破坏了ARP欺骗木马的正常工作。网关不被替换掉当然就不掉线了。或编写一个批处理文件rarp.bat内容如下:
@echo off
Arp–d
Arp–s xxx.xxx.xxx.xxx xx-xx-xx-xx-xx-xx (IP地址和物理地址根据具体网路和具体计算机而定)
放到启动菜单中。系统启动时自动执行此命令。
3. 全网所有的电脑都打上MS06-014和MS07-017这两个
补丁, 这样可以免疫绝大多数网页木马, 防止在浏览网页的时候感染病毒。MS06-014中文版系统补丁下载地址:http://www.microsoft.com/china/technet/security/bull etin/MS06-014.mspx MS07-017中文版系统补丁下载地址:http://www.microsoft.com/china/technet/security/bull etin/MS07-017.ms
4. 禁用系统的自动播放功能, 防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows系统的自动播放功能的方法:在运行中输入gpedit.msc后回车, 打开组策略编辑器, 依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
5. 在网络正常时候保存好全网的IP-MAC地址对照表, 这样在查找ARP中毒电脑时很方便。
6. 部署网络流量检测设备, 时刻监视全网的ARP广播包, 查看其MAC地址是否正确。
7. 安装杀毒软件, 及时升级病毒库, 定期全网杀毒。最后局域网用户应注意查杀病毒, 要即使下载和更新操作系统的补丁程序, 安装正版的杀毒软件, 增强个人计算机防御计算机病毒的能力。
(七) 结束语
IP地址盗用是困扰网络管理人员的一个问题, 直接威胁着网络的安全运行。本文分析了IP地址盗用的几种常用的方法, 并针对性地提出了常规可行的解决方案, 为解决IP地址盗用问题提供了一些思路。如果几种方案配合使用, 就可以最大限度地避免或阻止ARP欺骗攻击的出现。总之, 防御ARP病毒要从基础工作入手, 网络用户要经常升级操作系统及系统病毒库, 经常检查计算机病毒, 确保自身不感染ARP病毒, 合理地划分VLAN, 彻底杜绝盗用IP、MAC地址的情况。在发生ARP攻击时, 及时找到病毒攻击源头, 立刻将中毒计算机断开网路, 用最新病毒库的杀毒软件进行杀毒, 确保网络系统安全、可靠地运行。
参考文献
[1]罗斯.安德生.信息安全工程[M].机械工业出版社出版, 2001.
浅议计算机局域网的信息安全防范 第2篇
计算机的信息安全是一个越来越引起社会关注的重要问题,也是一个十分复杂的课题。随着计算机在人类生活各领域中的广泛应用,计算机病毒也在不断产生和传播,计算机网络被不断非法入侵,重要情报资料被窃密,甚至由此造成网络系统的瘫痪。作为一项综合科学技术的办公自动化,更是以计算机为中心和基础。计算机大量装备于党政军要害部门,各种秘密文件被送入计算机进行加工、存贮和传递。如何做好计算机信息处理中的保密工作是我们面临的新课题。本文探讨泄密的主要途径和防范措施。
一、泄密的主要途径
1.电磁波辐射泄密
计算机是靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,犯罪分子只要具有相应的接收设备,就可以将电磁波接收,从中窃得秘密信息。据国外试验,在1000米以外能接收和还原计算机显示终端的信息,而且看得很清晰。计算机工作时,在开阔地带距其100米外,用监听设备就能收到辐射信号。另外,网络端口、传输线路等都有可能因屏蔽不严或未加屏蔽而造成电磁泄露。
2.计算机联网泄密
计算机网络可将世界范围内的计算机联接起来,实现资源共享。然而,由于计算机网络结构相互之间通过线路联络,这样就存在许多泄密漏洞。首先,“数据共享”时计算机系统实行用户识别口令,在分辨用户时认“码”不认“人”,这样,那些窃密分子就可能通过种种办法掌握用户口令,然后进行窃密活动。其次,计算机联网后,传输线路大多由载波线路和微波线路组成,这就使计算机泄密的渠道和范围大大增加。局域网与外界连通后,通过未受保护的外部线路,可以从外界访问到系统内部的数据,而内部通讯线路也有被搭线窃取信息的可能。此外,非法用户有可能在现有终端上并接一个终端,或趁合法用户从网上断开时乘机接入,使信息传到非法终端。
3.介质的剩磁效应泄密
使用磁盘、磁带、光盘的计算机外存贮器很容易被非法篡改或复制。磁盘经消磁十余次后,仍有办法恢复原来记录的信息。在大多数的信息系统中,删除文件仅仅是删掉文件名,而原文原封不动地保留在存储介质中,一旦被利用,就会泄密。
4.工作人员泄密
(1)无知泄密。如由于不知道电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施而给他人提供窃密的机会。又如由于不知道软盘上剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出去而造成泄密。另外,秘密信息和非秘密信息放在同一媒体上,明密不分,容易造成泄密。
(2)违反规章制度而泄密。计算机出故障时,存有秘密信息的硬盘不经处理或无人监督就带出修理,就会造成泄密。又如由于计算机媒体存贮的内容缺乏直观性,因而思想麻痹,疏于管理,容易造成媒体的丢失。
(3)故意泄密。情报机关常常采用金钱收买、色情勾引和策反计算机工作人员窃取信息系统的秘密。这比利用电子监听、攻击网络等办法有利得多。
二、保密的防范措施
计算机局域网由信息和实体两大部分组成。其保密防范主要从技术、行政和法律三个方面着手:
(一)技术防范
1.局域网信息的保密
信息泄露是局域网的主要保密隐患之一。所谓信息泄露,就是被故意或偶然地侦收、截获、窃取、分析、收集到系统中的信息,从而造成泄密事件。局域网在保密防护方面有三点脆弱性:一
是数据的可访问性,数据信息可以很容易被终端用户拷贝下来而不留任何痕迹;二是信息的聚生性,当信息以零散形式存在时价值不大,一旦网络将大量关联信息聚集在一起时,其价值就相当可观;三是设防的困难性,尽管可以层层设防,但对熟悉网络技术的人来说,下些功夫就可能突破这些关卡,给保密工作带来极大的困难。
计算机局域网的保密防范应从以下四个方面入手:
(1)充分利用网络操作系统提供的保密措施。某些用户对网络的认识不足,基本不用或很少使用网络操作系统提供的保密措施,从而留下隐患。一般的网络操作系统都有相应的保密措施,一般包括四级保密措施:第一级是入网保密。用户入网时,必须按用户名进行登录注册。使用网络信息资源的用户,必须准确申报自己的用户名,否则将被网络拒之门外。第二级是设置目录和文件访问权限。访问权限是对用户访问目录和文件的合法范围的规定,以控制用户只能操作什么样的目录和文件。第三级是文件和目录的属性保密。属性直接控制对文件或目录的访问特性。属性的访问控制高于文件、目录的有效访问权限,可以禁止有效访问权限所允许的操作。第四级是文件服务器的安全保密。即控制台键盘可以加口令封锁,防止非法闯入者以超级用户身份浏览网络信息。
(2)加强数据库的信息保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性,现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,所以数据库的保密需采取另外的方法。
(3)采用现代密码技术,加大保密强度。借助现代密码技术对数据进行加密,将重要秘密信息由明文变为密文。
(4)采用防火墙技术,防止局域网与外部网连通后秘密信息的外泄。防火墙是建立在局域网与外部网络之间的电子系统,用于实现访问控制,即阻止外部入侵者进入局域网内部,而允许局域网内部用户访问外部网络。
2.局域网实体的保密
局域网实体是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络部件。对局域网实体,采取的相应保密措施一般有以下三种:一是防电磁泄露措施。如选用低辐射设备、距离防护、噪声干扰、屏蔽等措施,把电磁泄露抑制到最低限度。二是定期对实体进行检查。特别是对文件服务器、光缆(或电缆)、终端及其他外设进行保密检查,防止非法侵入。三是加强对网络记录媒体的保护和管理。如对关键的涉密记录媒体要有防拷贝和信息加密措施,对废弃的磁盘要有专人销毁等。
(二)行政管理
(1)建立完善的安全保障体系。建立完善的安全保障体系是保证系统安全的前提,如管理人员安全培训、可靠的数据备份、紧急事件响应措施、定期系统安全评估及更新升级系统,这些都能为系统的安全提供有力的保障,确保系统能一直处于最佳的安全状态,即便系统受到攻击,也能最大程度地挽回损失。
(2)建立严格的管理制度。禁止无关人员随便进出机房和使用计算机,重点放在网络系统的中心控制室。同时,机房选址要安全可靠,重要部门的机房要有必要的保安措施。
(3)规定分级使用权限。首先,对计算机中心和计算机数据划分密级,采取不同的管理措施:秘密信息不能在公开的计算机中心处理,密级高的数据不能在密级低的计算机中心处理;其次,根据使用者的不同情况,规定不同使用级别,低级别的机房不能进行高级别的操作;在系统开发中,系统分析员、程序员和操作员应职责分离,使知悉全局的人员尽可能少一些。
(4)加强对媒体的管理。录有秘密文件的媒体,应按照同等密级文件进行管理,对其复制、打印、借阅、存放、销毁等均应遵守有关规定。同一片软盘中不要混录秘密文件和公开文件,如果同时录有不同密级的文件,应按密级最高的管理。同时,还应对操作过程中临时存放过秘密文件的磁盘以及调试运行中打印的废纸作好妥善处理。
(5)加强对工作人员的管理。要牢固树立保密观念,使其认识到新时期保密问题的重要性、紧迫性,从而增强保守国家秘密的意识。抓好人员的选配和日常的考察,做到不合格的坚决不用,现有工作人员中发现问题要及时处理,坚决调离,以保证队伍的纯洁精干和效能;要搞好智力投资,不断提高使用和管理人员的科学技术水平,掌握防止泄密的知识和防范措施;还要建立奖惩制度,严格加强考核,完善激励机制。
(三)法律监督
保密防范必须以法律法规为依据。目前我国已有《保密法》、《计算机信息系统安全保护条例》和《计算机信息网络国际联网管理暂行规定》,按照规定和要求,做好计算机的保密防范工作,不得利用计算机从事危害国家安全、泄露国家秘密的违法犯罪活动。
学校局域网病毒防治初探 第3篇
1、局域网病毒入侵原理及现象
一般来说, 计算机网络的基本构成包括网络服务器和网络节点站。计算机病毒一般首先通过各种途径进入到工作站, 从而进入网络, 然后开始在网上的传播。
具体地说, 其传播方式有以下几种。
(1) 病毒直接从工作站拷贝到服务器中或通过邮件在网内传播; (2) 病毒先传染工作站, 在工作站内存驻留, 等运行网络盘内程序时再传染给服务器; (3) 病毒先传染工作站, 在工作站内存驻留, 在病毒运行时直接通过映像路径传染到服务器中; (4) 如果远程工作站被病毒侵入, 病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器, 就可通过它迅速传染到整个网络的每一个计算机上。
由以上病毒在网络上的传播方式可见, 在网络环境下, 网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外, 还具有一些新的特点。
(1) 感染速度快、扩散面广:在单机环境下, 病毒只能通过介质从一台计算机带到另一台, 而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定, 在网络正常工作情况下, 只要有一台工作站有病毒, 就可在几十分钟内将网上的数百台计算机全部感染。
由于病毒在网络中扩散非常快, 扩散范围很大, 不但能迅速传染局域网内所有计算机, 还能通过远程工作站将病毒在一瞬间传播到千里之外。
(2) 传播形式多样:计算机病毒在网络上一般是通过“工作站”到“服务器”到“工作站”的途径进行传播的, 但现在病毒技术进步了不少, 传播的形式复杂多样。
(3) 难于根除、破坏性大:单机上的计算机病毒有时可以通过删除带毒文件、低级格式化硬盘等措施能将病毒彻底清除。而在网络中只要有一台工作站未能清除干净, 就可使整个网络重新被病毒感染。因此, 仅对工作站进行杀毒, 并不能解决病毒对网络的危害。
(4) 激发条件多样:网络病毒激发的条件多样化, 可以是内部时钟、系统的日期和用户名, 也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求, 在某个工作站上激发并发出攻击。
(5) 潜伏期:网络一旦感染了病毒, 即使病毒已被清除, 其潜在的危险性也是巨大的。根据统计, 病毒在网络上被清除后, 85%的网络在30天内会被再次感染。
2、局域网病毒防范策略
计算机病毒形式及传播途径日趋多样化, 因此, 类似学校、企业这样的大型网络系统, 防范病毒的工作已不再像单台计算机病毒的检测及清除那样简单, 而需要建立多层次的、立体的病毒防护体系, 而且需要具备完善的管理系统来设置和维护对病毒的防护策略。
2.1 增加安全意识, 对工作人员定期培训
解决病毒问题, 首先是预防。预防病毒, 计算机使用者的安全意识起着决定性的作用。病毒的蔓延, 经常是由于企业内部员工对病毒的传播方式不够了解。平时, 企业要从加强安全意识着手, 对日常工作中隐藏的病毒危害增加警觉性, 简单易行的方法是安装一种有效的网络版杀毒软件, 定时更新病毒定义, 对来历不明的文件运行前进行查杀, 定期查杀病毒等方式, 都可以较好的预防病毒在网络中的传播。
2.2 小心邮件和U盘
随着网络的普及, 电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时, 也无意之中成为了病毒的帮凶。同时, 随着U盘, 移动硬盘, 存储卡等移动存储设备的普及, U盘病毒也随之泛滥起来。国家计算机病毒处理中心发布公告称U盘已成为病毒和恶意木马程序传播的主要途径。
2.3 安装杀毒软件
解决病毒最好, 也是最有效的方法, 还是安装杀毒软件。一般而言, 查杀是否彻底, 界面是否友好、方便, 能否实现远程控制、集中管理是决定一个网络杀毒软件优劣的三大要素。
通过以上策略的设置, 能够及时发现网络运行中存在的问题, 快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点, 及时、准确的切断安全事件发生点和网络。
3、A R P病毒及其防治
之所以将ARP病毒单独列为一节来进行讨论, 是因为再近些年管理维护学校局域网系统的工作中, 我们发现ARP病毒是经常发作、较难根治的、且破坏性较大的是一种病毒新变种, 根据和附近多所高校的沟通, 我们发现此种病毒在他们的网络中, 也造成了不同程度的危害。
被称为“ARP地址欺骗”的病毒变种除具备以往ARP病毒发作的特征, 如局域网内部分计算机不能正常上网, 或是所有计算机均不能上网, 还有无法打开Web网页或打开Web网页速度较慢以及局域网链接时断时续并且网速较慢等现象以外, 还会向局域网内发送伪造的ARP欺骗广播, 并将受感染的计算机系统伪装成局域网网关。当局域网中的计算机系统发出访问Web网页请求的时候, 伪装成网关的计算机系统会把Web网页下载下来并在其中添加一段恶意地址代码一并发送给发出请求的计算机, 造成该计算机系统访问Web网站时会主动链接该恶意网址。
对于这种病毒, 国家计算机病毒应急处理中心建议广大计算机用户采取如下针对性防范措施:
(1) 立即升级操作系统中的防病毒软件和防火墙, 同时打开“实时监控”功能, 实时地拦截来自局域网络上的各种ARP病毒变种。
(2) 立即下载微软MS06-014和MS07-017两个系统漏洞补丁程序, 将补丁程序安装到局域网络中存在这两个漏洞的计算机系统中, 防止病毒变种的感染和传播。局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。随着计算机使用者安全意识的提高, 多层次的、立体的防护体系的建立, 这一困扰业界多年的问题终将得到完善的解决。
摘要:计算机病毒问题一直困扰着计算机使用者, 随着目前计算机和网络的普及, 病毒也在网络中迅速泛滥。目前大多数学校的局域网中, 都存在着不同程度的病毒问题, 影响着教职工对计算机的正常使用, 甚至出现过整个网络瘫痪的情况。本文将通过对局域网病毒特点进行初步分析, 进而提出解决目前学校局域网病毒问题的设想。
局域网内的安全误区WEB安全 第4篇
误区一:局域网中无需单机防火墙
有人认为局域网有防火墙,单机上就不需要再安装防火墙,这可以说是一个自欺欺人的想法。其实多数的网络攻击,蠕虫攻击都是来局域网的内部。究其根本原因,由于蠕虫病毒大都具备自我复制的特征,它们不会限于仅在网络中的一台计算机上发作,“中招”的计算机往往会连累到局域网中其他用户。而且这类在局域网中扩散的病毒,其顽固程度也远非单机病毒可比,经常会发生职员甲把自己机器上的病毒杀干净后,又会由于职员乙尚未杀毒而再次被感染同种病毒的情况。比如震荡波,简直就是阴魂不散的代表之作!
局域网用户的防火墙安装设置需要注意下面一些问题:
1.不要觉得安全标准设置得越严越好,如果安全标准设置过高,会造成许多网络应用不能实现,如办公自动化系统、共享应用等。一旦你防火墙设置过于严格,妨碍了你的日常应用,你就会觉得防火墙碍事而卸载它,结果得不偿失。
2.不要以为所有出去的信息都是无害的,现在有很多反弹木马,能够主动向外连接客户端。因此WindowsXPSP2内置的防火墙默认设置不能防止反弹木马,可以考虑更换其它功能全面的木马。
3.随时注意检查防火墙的状态,许多病毒、软件有关闭防火墙的功能,一旦你发现自己的防火墙无故被关,就要注意了,赶紧使用最新的杀毒软件查查。
误区二:没有人会针对我
局域网的用户都会认为, 喜欢的都是那些大的网站,自己一定不会遇到,
其实,这种想法是错误的,大部分“初级” 只是利用已经公开的安全漏洞,他们仅仅是一群是稍微懂点电脑知识的人,通过网络上下载的工具,往往首先在自己的局域网中做测试。如果你没有足够的安全意识,或许你的电脑已经被人像逛街一样溜达了好几圈还不知道。
如果你在使用电脑时,没有使用光驱、软驱,却突然发现光驱、软驱有读盘的操作,此时就得格外小心了,很有可能已经有人登录到你的电脑上,建议马上拔掉网线,并迅速检查硬盘上是否有不熟悉的文件存在,然后安装一个防火墙看看谁试图连接你的电脑。
误区三:安装杀毒软件和病毒防火墙就不怕病毒
通常安装了杀毒软件和病毒防火墙之后,可以预防一些已知的病毒。由于病毒种类和形式在不断翻新,而且它的出现往往无法预料,杀毒软件要不断升级才能对付新出现的病毒,即使这样有很多时候杀毒软件升级到最新版也不能杀掉全部的病毒。升级到最新,只是能让你的电脑拒绝更多的病毒,让你的电脑处于更安全的状态,并不意味着你就可以忽略电脑安全。现在越来越多的病毒使用 的手段入侵正常的电脑,有些人以为只要不打开网页就不会感染病毒,就可以不打开杀毒软件防毒。其实,虽然不少病毒是通过网页传播的,但是也有不少病毒根本不需要通过网页就能入侵电脑,冲击波、蠕虫病毒等,都会在你不知不觉中进入你的电脑。
误区四:安装了SP2的WindowsXP就安全了
局域网安全防范初探 第5篇
1 计算机局域网的组建与设计
在计算机网络技术快速发展的过程中, 计算机局域网的组建与设计对其具有重要的影响。在计算机网络运用的过程中, 计算机局域网的组建相关内容如表1所示。计算机局域网的组建与设计时计算机网络得以顺利应用的前提条件。计算机局域网的组建于设计是一项专业性与技术型非常强的工作。在此向工作实施的过程中, 工作人员应当明确计算机局域网组建的想过流程, 在组建流程基本了解的情况下, 才能够更好的将防火墙技术应用于其中。通常情况下, 计算机局域网的组建通常需要遵循几项原则。即标准、扩展、实用、安全、先进以及灵活等。网络发展的速度是有目共睹的, 现如今已经取得成绩也是非常明显的。随着科学技术与网络技术的发展, 计算机局域网的应用范围会更加大。
2 防火墙技术功能的概述
在计算机网络逐渐发展的过程中, 防火墙技术属于一种较为常见的技术于计算机局域网中。计算机局域网组建与设计的过程中, 防火墙技术体现了极强的功能, 促使其在计算机局域网组建与设计中发挥重要的作用。首先, 防火墙可以强化计算机局域网中相关的安全策略。在计算机网路发展逐渐普及的过程中, 越来越多的人通过网络获取更多的信息。在此情况下很难保证素质低下的人不实行违法乱纪的行为。防火墙技术可以防止不良信息的传播, 只有在符合安全策略的情况下信息才能传播。其次, 防火墙可以记录网上活动。防火墙技术可以监控内网与互联网的使用过程, 在其发出错误信息时, 能够及时记录。再次, 防火墙可以有效限制用户点的暴露。在两个网段之间, 可以通过特定的协议来控制讯息的传播。最后, 防火墙属于一个安全策略检查站。从技术本质上而言, 防火墙与安检机器的功能极为相似, 可以检查用户信息是否与协议冲突, 确定用户的访问权限。
3 防火墙技术在计算机局域网组建与设计中的运用
就计算机局域网而言, 防火墙并不仅仅是一个不见, 其常常由一系列的部件按照体系结构组合而成。不见通常由硬件与软件两部分。如果不同局域网之间需要进行信息交流就需要通过防火墙。在计算机局域网组建与设计的过程中, 常见的防火墙技术主要有以下几种。
首先, 屏蔽路由器。在局域网内, 路由器或者主机共同组成屏蔽线路。局域网中所有数据的进出都需要经过路由器。在用户的IP层上安装过滤软件, 同时这些配置都相对较为简单。采用这种方式设计计算机局域网, 能够有效控制内网与外网的访问。这种方式属于一种较为简便的操作方案。其次, 屏蔽主机网关。在计算机局域网组建的过程中, 屏蔽主机网关的技术被越来越多的人们认可。在计算机局域网设计的过程中采用该种技术能够给计算机局域网增加双重的安全保障。该种技术主要是由过滤路由器连接外网, 该路由器与外网通讯进行连接。对计算机局域网起到良好的安全保护作用, 最后, 屏蔽子网。现如今, 在计算机局域网设计的过程中, 用户通常都会采用屏蔽子网的方式来保障局域网的安全。其主要由路由器和堡垒主机构成, 通常情况下, 该技术需要应用到两个路由器, 一个在内网, 一个在外网进而形成两层防火墙。进而有效保障计算机局域网的安全。
4 结语
总而言之, 在计算机网络快速发展的过程中, 防火墙的广泛应用为计算机局域网的安全提供了相应的保障。因此, 在计算机局域网组建与设计的过程中, 有效运用防火墙技术具有重要的作用。
摘要:在信息化时代快速发展的过程中, 计算机网络功能逐渐变得越来越强大。在此过程中, 人们不仅将计算机作为一种应用工具, 同时也将计算机作为发展的一种手段。人们在使用计算机网络的过程中将其作为获得信息数据传播、发布以及获取的重要途径。计算机局域网的覆盖的面积非常广泛。在科技手段逐渐发展的过程中, 计算机网络的应用范围逐渐拓宽。本文就防火墙技术在计算机局域网组建和设计中的应用简单分析, 以期能够对此方面有更深的了解。
关键词:计算机局域网,组建和设计,防火墙技术
参考文献
[1]朱景伟, 黄征.基于上海交通安全信息网对信息安全的研究[J].仪器仪表标准化与计量, 2013, 8 (11) :89-90.
教育城域网建设初探 第6篇
近年来, 学校的教学和管理工作正向实现信息处理计算机化, 信息交流网络化、信息管理数据库化、信息服务电子化发展。因此利用计算机网络技术进行学校管理和开展辅助教学、科研活动已是势在必行。“十年树木, 百年树人”, 随着计算机与通讯技术的发展, 网络已经成为人们生活、工作必不可少的一部分。中国教育行业更是如此, “学习使用网络, 用网络进行学习”已经成为一种时尚。教学需要提供形象化、交互性的教学手段以及海量的教学资源来支撑。这些信息化技术极大的提高了教学效率, 同时也出现了很多的硬件提供商、系统集成商、软件生产商, 于是学校纷纷建设自己的校园网及教学应用网络, 而科技的发展似乎使这一切都变得容易了。
2 区域教育城域网骨干网络
教育城域网络建设集中在1999–2004年间。广域骨干网采用星形结构, 区县中重点中学网络通过光纤、专线连接到区域核心交换机上, 区域县中其他中小学、偏远学校通过专线、租用的光纤连接到县中重点中学, 区重点中学直接通过1000兆光纤连接到区核心网络。核心设备采用较早的北电三层网络设备, 部分区县学校核心设备采用北电三层网络设备与二层设备, 部分区县学校核心设备采用锐捷三层交换机 (2004年建设的中学网络)
3 区域教育城域网接入网络
区各县中小学校园网络区县学校网络分为两个时间段建设, 一部分是与区电教馆于1999年8月同时建设的, 设备也是通过区电教馆同意采购, 一部分是于2004年随着农远工程同时建设, 设备也是由区电教同意采购, 所采购设备是锐捷三层交换机与二层交换机。各个区县学校网络为二层设计, 核心层直接与区电教馆中心核心设备连接, 接入层提供学校师生PC的接入。
4 教育城域网方案的实施
教育城域网提供一个综合网络平台, 提供如E-Mail, a FTP, 网络论坛, 网络图书馆, 搜索引擎, 网上聊天, 管理数据的传输、处理与查询等功能外, 还应包括视频点播 (VOD) 、实时远程教学、网络学校、电视会议、网络电话 (IP电话) 等功能, 是一个高速多媒体互联网, 实现整个教育系统的资源共享, 做到网内设备大、中、小学都能共享。
⑴学校端—建设多媒体电脑课室、多媒体电教平台、校园网、多媒体电子阅览室。实现多媒体教学、学校办公及教学、后勤管理电子化, 实施远程教学、学校信息网上发布、视频会议、教学资源共享等功能;建立学生自主学习模式。
⑵网络部分—建立覆盖全市的教育VPN专网, 全市统一出口, 对校园内流通的网上信息进行过滤, 保证学生在健康的网络环境下学习。
⑶信息资源中心—全市建立一个大型的综合性信息资源中心, 加大资源容量, 更新方便快捷, 通过共享, 降低学校端的投资和使用成本, 提高使用效率。
在实施时, 两点一线同时建设, 互联互通, 才能充分发挥作用。
⑷系统软件—建立全市统一的城域网、学校管理、资源库及课件制作平台, 保证数据交换和资源共享顺利进行。
⑸资金解决方案—通过争取省教育厅和市县政府的支持, 结合“卖方信贷”方式解决多媒体电脑教室、学校校园网终端设备、系统软件的配备问题。运营商市级分公司建设信息中心至学校终端的网络。市教育局自筹资金建设市教育信息资源中心。
⑹服务和培训—多媒体电脑课室、多媒体电教平台、校园网、多媒体电子阅览室的终端设备由设备提供商提供三年免费上门服务, 并提供现场培训;网络线路及设备由运营商部门提供全程的全天候维护。
5 小结
教育网是连接宽带骨干网和教育内部网、校园网的数据传输网络。教育要跟上科学技术和社会现代化发展的步伐, 必须加快教育的信息化, 这是实现我国教育跨越式发展的重要途径和重要机遇。教育网是以网络技术为依托, 以各种信息设施为支持, 以教育软件和资源为基础, 以实现现代化教育和管理为目的, 为区域教育提供全方位应用服务的信息化环境, 教育网是对区域教育的全新规划。
参考文献
[1]高志军, 颜国正, 丁国清, 颜德田.基于多机器人臂间协作的通信机制的设计与实现[J].系统工程与电子技术, 2001年12期.
[2]李智芳.基于MPEG2电视节目自动编播系统的研制[J].计算机系统应用, 2001年07期.
企业局域网安全与防范 第7篇
随着信息时代的发展, 计算机网络得到了广泛应用, 网络的安全性已成为不同层次的用户共同关心的问题。广域网的安全防御体系相对而言建立的比较完善, 而企业局域网的客户端的安全威胁问题却日益严重, 且缺乏有效的安全管理手段。用户通过局域网相连接的计算机自动进入企业的内部网络, 这样可能给局域网造成安全隐患。
局域网的安全是一个系统工程, 我们需要周密地设计和部署。它是一项长期的任务, 需要我们建立完善的网络安全制度、树立牢固的安全意识的同时, 建立一个综合性的网络安全防护系统。
目前, 局域网络安全隐患正是利用了网络系统本身存在的安全弱点, 而使系统在使用和管理过程的疏漏增加了安全问题的严重程度。
2 企业局域网安全存在的威胁
2.1 欺骗性的软件使数据安全性降低
局域网用户可以实现资源共享与交互, 而正是由于资源的共享性, 会导致一些信息特别容易被改动, 别有用心的人可能利用网络的这一特性恶意修改重要信息, 给用户造成不必要的麻烦或损失。欺骗性软件是对破坏系统正常运行的一类软件的统称。它既不属于正规商业软件, 也不属于真正意义上的病毒, 它会造成电脑运行变慢、浏览器异常等现象, 还可以造成数据泄密等严重事故。
同时由于用户缺乏数据备份, 因此会造成信息的丢失, 而这些信息很可能是独一无二的。它往往会在没有经过用户许可的情况下强行潜伏到系统中, 且无法正常卸载和删除, 强行删除后还会自动生成。这些欺骗性软件通过大量发送欺骗性垃圾邮件, 试图引诱收信人给出诸如身份证号码、手机号码等敏感信息, 有时甚至冒充一些大的知名网站来骗取用户的重要信息。以往此类攻击的冒名的多是大型或著名的网站, 但由于大型网站反应比较迅速, 而且所提供的安全功能不断增强, 所以这类软件已越来越多地把目光对准了较小的网站。
2.2 计算机病毒
随着信息化社会的发展, 计算机病毒的威胁日益严重。计算机病毒是一段人为编制的计算机程序代码, 这段程序代码一旦进入计算机并得以执行, 它就会搜寻其他符合其传染条件的程序或存储介质, 确定目标后再将自身代码插入其中, 达到自我繁殖的目的。计算机病毒不但本身具有破坏性, 更有害的是具有传染性, 一旦病毒被复制或产生变种, 其速度之快令人难以预防。
有些病毒像定时炸弹一样, 始作俑者事先设定好病毒的发作时间, 定点发作。比如黑色星期五, 这种病毒不到预定时间不会对用户的电脑产生影响, 一旦条件具备马上就发作, 对用户的系统进行破坏, 让人防不胜防。一个编制精巧的计算机病毒程序, 进入系统之后不会马上发作, 在磁盘或磁带里呆上几天, 甚至几年, 一旦得到发作机会, 就会快速繁殖、复制、传播, 并且给用户造成危害。因此, 计算机病毒的泛滥会造成计算机资源的损失和破坏, 不但会造成资源和财富的巨大浪费, 而且有可能造成社会性的灾难。
2.3 用户安全意识不强
笔记本电脑在内外网之间频繁切换使用的情况很普遍, 许多用户将在外网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用, 这样很容易造成外网病毒在不经意情况下传入企业局域内网, 还可能导致内部重要信息的泄密。许多用户使用U盘、MP3类似的移动存储设备来传递数据, 经常还未将外部数据经过必要的安全检查程序, 就将信息拷贝到内部局域网的电脑上, 或者将内部数据带出企业局域网, 这给病毒的进入提供了可乘之机, 同时增加了数据泄密的可能性。
2.4 管理制度不健全
局域网安全最为重要的核心保障在于对其严格的管理, 但纵观我国国内局域网络安全管理现状, 其由于各方面因素影响, 很多企业与事业单位在网络安全方面都疏于管理。在相关局域网管理制度及其管理人员配置上方面不达标, 当下局域网网络管理严重缺乏必要的人力、财力、物力资源投入。没有投入, 自然没有相应好的管理成果;在局域网相关技术及其硬件设备配置方面, 很多企业仍旧普遍采用传统的老式网络设施, 这很难满足日常局域网络安全管理的需求;很多企业与事业单位仍采用传统的、局限于某一节点、某一设备的网络管理策略, 这明显无法适应时代与企业经济的发展。
3 企业局域网安全问题的解决办法
3.1 控制访问权限
为了实现网络的高可用性、高安全性、可扩展性, 应采用模块化的方式对整个网络进行安全区域的划分, 从而使连接在网络上的各个业务系统实现一定程度的隔离。通过在局域网第三层设备上要在不同的VLAN间设置访问控制列表, 以实现VLAN之间的访问控制, 对于核心数据区、互联网区、办公区、工业生产区等重要区域间需要通过防火墙隔离。在内外网隔离及访问系统中, 防火墙成为了时兴的保护计算机网络安全的一项重要技术性措施, 同时也是最有效和经济的措施之一。
防火墙技术可以决定哪些内部服务可以被外界访问, 外界的哪些人可以访问内部的哪些服务, 以及哪些外部服务可以被内部人员访问。强调的是, 防火墙是整体安全防护体系的一个重要组成部分, 而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中, 通过以防火墙为中心的安全方案配置, 将所有安全软件配置在防火墙上。
3.2 建立防病毒入侵系统
传统的安全解决方案中, 防火墙和入侵检测系统 (IDS, Intrusion Detection System) 已经被普遍接受, 但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备, 不能充分地分析应用层协议数据中的攻击信号, 而IDS也不能阻挡检测到的攻击。因此, 即使在网络中已部署了防火墙、IDS等基础网络安全产品, IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周, 而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果, 必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。
以入侵防御系统 (IPS, Intrusion Prevention System) 为代表的应用层安全设备, 作为防火墙的重要补充, 很好的解决了应用层防御的问题, 并且变革了管理员构建网络防御的方式。通过在线部署, 检测并直接阻断恶意流量。为了应对目前全方位的网络威胁, 选用卡巴斯基防病毒软件, 为企业内部局域网组成一个完整统一的接入端防护体系。启用杀毒软件强迫装置战略, 监测一切运转在局域网内的计算机, 对没有安装杀毒软件的计算机采用正告和阻断的方法强迫运用人安装杀毒软件。
3.3 智能分析与联动, 设立多重保护
对来自于网络、安全、操作系统、数据库、存储等设施的安全信息与事件进行分析, 关联和聚类常见的安全问题, 过滤重复信息, 发现隐藏的安全问题, 使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口, 并能根据预先制定的策略做出快速的响应, 保障网络安全。任何单一的安全保护措施都不能保证网络绝对安全, 都存在被攻破的可能。
因此需要设立多重保护系统, 各层保护相互补充, 当一层保护被破坏时, 其它层继续发挥保护网络安全的功能, 这样可以大大增加信息安全可靠度。基于这点考虑, 在做安全方案的设计时应该考虑采用多重保护机制, 不能单独依赖具体的某一个安全措施或者产品, 这样才能确保企业局域网的安全。
3.4 建立安全防范体系
目前, 现已出现的很多局域网络管理问题中, 其问题出现的根源并非由产品的质量引起, 而是由于不完善、不合理的安全管理制度而造成的。为此, 我们必须对其予以重视, 通过全面安全防范体系的构建及其日常的维护与管理, 真正意义上实现高效、规范、通用的局域网络安全管理与防护。
建立监控设施管理, 确保计算机网络系统实体安全。建立健全安全管理制度, 防止非法用户进入计算机控制室和其它各种非法行为的发生, 在保护计算机系统、打印机、网络服务器等外部设备和通信链路上下大功夫, 并不定期的对运行温度、湿度、清洁度、供电接头、三防措施、设备等进行检查、测试和维护。用网络实现流量的统计、实时流量的监控、系统漏洞检测和网络流量应用管理等功能。如果可以图形化界面和直观全面的展现各种统计信息, 就能够帮助管理人员掌握网络状况, 增强了网络的风险防范能力。
3.5 备份重要数据
系统在崩溃或出现故障时, 可能会彻底破坏原来系统中的信息。因此, 我们应经常性地备份原来系统分区中的重要数据。简单的数据备份只要复制相关数据到非系统分区, 或移动硬盘上, 或刻录光盘备份。如果是与系统有关的数据, 则用引导光盘开机启动GHOST克隆镜像到非系统分区, 最简单的用一键备份克隆一下就可以。个人文件的转移, 是趋利避险的一个行之有效的途径, 把有用的信息转移出来, 就不再担心电脑C盘出现问题。当然, 转移毕竟不是最保险的方法, 因为C盘以外的其他逻辑盘也并不是百分之百保险, 危险还是存在。因此, 最好的万全之策是“文件转移+数据备份”。
4 总结
企业局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。企业局域网安全与网络的发展息息相关, 是一个系统的工程。保障网络安全不能仅靠杀毒软件、防火墙等硬件设备的防护, 也不仅是网络管理员的工作, 还需要每位网络用户的密切配合、群策群力、群防群治保证企业内部网络的安全, 既要做好边界防护, 又要做好内部网络的管理。
目前人们对安全管理的观念已广泛接受, 只有好的管理思想, 加上严格的管理制度, 并且负责的管理人员将管理程序实施到位, 才能保证网络的安全, 才能更好地推进企业信息化建设的进一步深入。
参考文献
[1]赛胜林.局域网的信息安全与病毒防治策略分析[J].黑龙江科技信息, 2010.
[2]李辉.计算机网络安全与对策[J].潍坊学院学报, 2007, (3) .
[3]万国根, 秦志光等.网络内容安全分析及审计技术研究[J].计算机应用研究.2004.1.
[4]金勇.网络信息内容监控技术及应用研究[D].四川大学, 2005.
浅谈局域网的维护与安全防范 第8篇
关键词:局域网,维护,安全
1. 引言
随着局域网技术的广泛应用, 局域网的优势也日益彰显, 通过对局域网日常维护与进行安全防范, 使局域网更好地保持信息畅通。
2. 局域网的定义与特点
局域网 (LAN) 是指在小范围内由服务器和多台电脑组成的工作组互联网络。一个局域网可以容纳几台至几千台甚至更多台计算机。
局域网连接的都是数据通信设备, 包含PC、工作站、服务器等终端及外围设备。局域网的特点是所覆盖的地理范围较小;数据传输率高;传输延时小;误码率较低;价格便宜。
3. 局域网的维护与管理
局域网在日常应用中易出现故障主要分为两类, 第一是物理故障, 也就是硬件故障, 一般包括计算机各个零件的故障比如硬盘、内存、显示器等, 以及连接设备的故障如电源线、网卡、网线、路由器等。第二种是软件故障, 主要包含网络协议问题、网络设备的配置、设置问题、病毒问题等。
3.1 物理故障 (1) 网卡
要保证局域网络的正常运行, 首先就是保证网卡驱动的正确安装并与计算机操作系统兼容。现在局域网络通常采用以太网卡。使用时需要配置中断请求 (IRQ) 、基本输入输出 (I/O) 地址及高端内存3个参数。局域网中需要的网卡数量按照网络结构等情况决定, 在前期安装调试时就牵涉网卡的设置。如果网卡设置有误会导致局域网内系统无法正常运行。需要网络维护人员在网卡安装调试时做好网卡的管理, 对网卡有关数据有据可查。因此在维护时, 不论网卡出现何种故障, 都能够快速确定原因及时排除。
(2) 网络连接设备
在组网的过程中最为常用的网络设备。其在工作状态下如果指示灯发生闪烁或者黄灯常亮, 则说明网络发生了堵塞, 这时就要检查网络中是不是有IP地址冲突存在。若是网线与IP地址均正常, 那么我们要对网络设备的地线与零线间的电压进行测量, 看是不是大于3V, 若大于则说明交换机供电系统有问题存在, 导致信号不能够正常传输。路由器是一种可以将多个网络、网段相连接的网络设备, 通常用来将局域网连接到广域网内, 或是将不同结构的子网连接起来。路由器作为一种实现不同网络相互连接的工具, 其系统构成了基于TCP/IP的Internet的重要部分。
(3) 网线连线
网络连线是是连通局域网络的管道。当前广泛应用的是安装容易成本较低的双绞线, 双绞线的正确连接对于局域网非常重要。对于8根4对双绞线的不正确连接会影响局域网通讯效果, 同时还要注意双绞线的防磁干扰, 做好屏蔽等工作。
3.2 软件故障
软件分为网络中服务器及终端电脑使用的软件, 其中特别注意服务器上使用的软件。服务器是局域网核心内容, 重要内容都会放置在里面, 所以要注意保障此类信息的安全。具体包括:
(1) 服务器上软件的维护。所说的软件系统一般包括操作系统和文件服务器等。对于这些软件的运行状况要进行定期的检查。当服务器发生状况时, 工作人员要尽快准确地作出正确的处理, 确保网络正常的运行。
(2) 定期进行病毒查杀。网络和网络之间经常要相互传递信息, 而在传递的过程中不可避免会发生病毒传播, 所以, 操作人员要经常对服务器以及终端电脑进行病毒库的更新, 定期进行杀毒, 确保信息安全。
(3) 定期进行数据备份。不论软件设计的多么完美, 在运行的过程中都会有各种各样的问题出现。所以, 作为维护人员在日常工作中就要定期地对进行软件更新, 将重要数据内容做好备份, 防患未然。
4. 局域网的安全防范策略
由于局域网采取的技术比较简单, 安全措施也较少, 给病毒传播提供了途径和信息安全埋下隐患。当前对网络的安全运行威胁最大的是客户端安全管理。采用安全管理软件加强管理是解决局域网安全的关键。
(1) 采用桌面管理系统控制用户入网。入网访问控制确保网络资源不被非法使用, 也是网络安全防范的主要方法。设置密码策略, 强制要求用户设置符合安全要求的密码, 来防止非法用户修改。设定服务器登录时间限制, 来检测非法访问。
(2) 设置防火墙。防火墙是在应用两个网络之间实行控制策略的系统, 它是建立在现代通信技术与信息安全技术上的安全技术。
(3) 封存起空闲的IP地址, 进行IP地址绑定。上网计算机IP地址应与MCA地址一一对应, 局域网应没有空闲IP地址。能够有效防止IP地址引起的网络中断及移动计算机随意登录内部局域网络, 造成病毒传播和数据泄密。
(4) 属性安全控制。可以防止用户对文件的误删、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或者文件、执行文件、隐含文件、共享、系统属性等。
(5) 启用杀毒软件监测局域网络上的所有计算机, 对于没有安装杀毒软件采取警告以及阻断强制其使用安装杀毒软件。
5. 结束语
随着信息技术的发展, 网络渗透到现代生活的各个领域, 逐渐成为社会、国家乃至全世界信息传递的支柱。因此, 采取有效的日常维护与安全防预措施对保障局域网的安全畅通具有十分重要的意义。
参考文献
[1]陈昕, 慕德君著.网络信息安全基础.[M]西北工业大学出版社, 2008:144.
局域网安全内部防范措施的思考 第9篇
网关是内外网通信的必经之路, 是外网联入内网的咽喉。相对来说, 内网的木马病毒都是比较少的, 但是缺乏隔离机制的内网, 一旦有一台计算机被病毒木马所感染, 其它的也就都陷入了非常危险的境地。
建议在网络内部使用代理网关。使用代理网关的好处在于, 网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关, 进而才能访问到Internet, 这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。
在代理服务器两端采用不同协议标准, 也可以阻止外界非法访问的入侵。还有, 代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。
所以对于一个局域网络来说, 在边际处至少应当有一个初具安全防范功能的路由器或是防火墙, 以建立第一道防线。防火墙的选择应该适当, 对于微小型的企业网络, 可从Black ICE、Lock Down2000、Zone Alarm、Norton Internet Securitv2001、PCcillin2001、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。
二、口令安全
现在大部分人都认识到口令安全的重要性了, 不过还是要重申一下:口令的位数要尽可能的长;不要选用生日、门牌号码、电话号码等容易猜测的密码作为口令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和没有规律的密码作为口令, 并定期改变各系统的口令。另外, 个人私用密码最好与工作时使用的密码分开。
为了保障网络的安全, 也可以利用网络操作系统所提供的保密措施。以Windows为例, 进行用户名登录注册, 设置登录密码, 设置目录和文件访问权限和密码, 以控制用户只能操作什么样的目录和文件, 或设置用户级访问控制, 以及通过主机访问Internet等。为了安全起见, 还可对主机的网络属性进行设置, 去掉TCP/IP协议和其他协议中的“Microsoft网络上的文件与打印机共享”和“Microsoft网络用户”的绑定, 其他计算机也可进行同样的设置, 且可去掉TCP/IP协议中的绑定。若使用Windows2000, 可使用其自带的一个Routing amp Remote Access工具, 设定输入ICMP代码255丢弃可防ICMP的风暴攻击和碎片攻击。
同时, 可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性, 现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施, 而数据库的数据以可读的形式存储其中, 所以数据库的保密需采取另外的方法。针对计算机及其外部设备和网络部件的泄密渠道, 可以采取相应的保密措施。
电子邮件是企业传递信息的主要途径, 因此, 必须对电子邮件进行加密处理, 可安装网盾或手写的数码签名on Sign2.0等工具软件。
三、终端计算机防护
一般来说, 终端计算机上必然需要安装的防护软件就是杀毒软件了, 基本要求就是能实时防护 (特别在上外网的时候) 、数据库更新快, 以及占用系统资源小。个人强烈推荐使用kaspersky, 技术实力没的说, 俄国技术, 病毒数据库每天更新两次, 并承诺对新病毒的响应时间为30分钟, 使用起来也比较方便, 又有汉化版, 好处说不完 (唯一缺点就是不是国产的, 使用它不能算支持民族企业了) 。
操作系统绝大多数人用的是微软的windows系列, 主要受影响的就是在安装软件时不小心装上的那些如同“牛皮癣”一般的各类插件了, 不仅占用了大量的系统资源和窗口空间, 影响开机速度, 有时还会引起不知名的错误。值得注意的是系统补丁也要及时打上。
四、防范外部攻击
目前, 计算机网络系统的安全威胁有很大一部分来自拒绝服务 (Do S) 攻击和计算机病毒攻击。为了保护网络安全, 也可以从这几个方面进行。对付“拒绝服务”攻击有效的方法, 是只允许跟整个Web站台有关的网络流量进入, 就可以预防此类的黑客攻击, 尤其对于ICMP封包, 包括ping指令等, 应当进行阻绝处理。
通过安装非法入侵侦测系统, 可以提升防火墙的性能, 达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作, 当窃取者入侵时可以立刻有效终止服务, 以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问, 规定具有IP地址的工作站对本地网络设备的访问权限, 以防止从外界对网络设备配置的非法修改。
五、重要资料及时进行备份
为了维护企业局域网的安全, 必须对重要资料进行备份, 以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃, 进而蒙受重大损失。
对数据的保护来说, 选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的, 例如ARC Serve、CA的Inocu LAN等, 配合CA的灾难恢复软件, 可以较为全面地保护数据的安全。
六、外部环境安全
【局域网安全防范初探】相关文章:
局域网安全防范初探论文04-29
局域网安全防范初探论文提纲08-31
局域网安全防范初探论文参考文献09-24
利用局域网论坛整合信息技术教学初探09-10
局域网安全05-20
局域网安全测试05-15
企业局域网安全与防范05-23
局域网网络安全论文05-07
局域网的安全性研究05-20
医院局域网网络安全分析01-30